关于csrss.exe winlogon.exe logonUI.exe循环结束运行的问题

前段时间局域网里新增的服务器,最近偶然发现任务管理器里有三个进程:csrss.exe、winlogon.exe、logonUI.exe,一直循环的运行-结束-运行-结束......

QQ截图20161017113245.png

很明显,这仨货是用户登录相关的进程,难不成有人在猜解密码?

赶紧去查看安全日志,发现相应的一直在记录登录-注销-登录-注销...事件。

QQ截图20161017115647.png

也没多想,立刻根据日志记录的IP找到对应的电脑,彻底检查了一番。奇怪的是,没有任何木马病毒和可疑的进程会发起登录事件。于是,继续返回去看日志。汗,刚没注意,居然都是匿名登录:

QQ截图20161017123705.png

看来,很有可能跟服务器以Guest权限共享出去的打印机和文件夹有关了。既然木啥安全隐患,就不测试了。不过还是网上找了下前辈的经验:

查看 事件查看器->安全性 时,发现频繁出现大量的ANONYMOUS LOGON登陆/注销日志,这种行为,开始担心是有人尝试匿名登陆服务器(攻击行为),到网上搜了一下,大部份的内容是说可能受攻击了,经过分析和测验,发现是因为服务器有 文件和打印机共享,当内网用户,访问这些共享的内容时,就会记录以上信息,希望能帮助到遇到同样问题的朋友。

解决方法:

    打开windows防火墙->设置->例外->取消掉“文件和打印机共享”即可。但负面结果是,若在内网有共享的资源,将不能用匿名和guest访问。

参考:http://www.cnblogs.com/liyongfisher/archive/2009/06/03/server01.html

这问题视环境而定,如果服务器暴漏在公网或有重要数据的话,要多加谨慎了。

未经允许请勿转载: 东风破的博客 » 关于csrss.exe winlogon.exe logonUI.exe循环结束运行的问题

赞一个 (0)
分享到: +More